โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP)

ภาพรวม

โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) เปิดให้ลูกค้ารัฐบาลออสเตรเลียสามารถตรวจสอบยืนยันได้ว่ามีระบบการจัดการควบคุมที่เหมาะสมอยู่ รวมถึงกำหนดโมเดลความรับผิดชอบที่เหมาะสมสำหรับดำเนินการตามข้อกำหนดของคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ที่ออกโดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC)

• ผลกระทบตั้งแต่มีการยุติ CSCP และ CCSL คืออะไร

  ในวันจันทร์ที่ 2 มีนาคม 2020 กรมสัญญาณแห่งออสเตรเลีย (ASD) และหน่วยงานด้านการเปลี่ยนผ่านสู่ดิจิทัล (DTA) ได้ประกาศผลการทบทวนของโปรแกรมการรับรองบริการระบบคลาวด์ (CSCP) และโปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) การทบทวนดังกล่าวได้ให้คำแนะนำดังต่อไปนี้:

  • ปิด CSCP และสร้างแนวทางด้านความปลอดภัยของระบบคลาวด์ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรม
  • ขยายและเพิ่มประสิทธิภาพของ IRAP
  • ตั้งฟอรัมการให้คำปรึกษาของรัฐบาลและอุตสาหกรรมสำหรับความมั่นคงปลอดภัยทางไซเบอร์
  • อัปเดตสิ่งจูงใจในคำแนะนำและแนวทางการจัดหาและการบริหารจัดการเพื่อให้เกิดการยุติ CSCP

  ณ วันที่ 2 มีนาคม 2020 ASD ไม่ได้เป็นผู้ออกใบรับรองอีกต่อไปและได้ยุติกิจกรรมการรับรองทั้งหมด ซึ่งรวมถึงกิจกรรมการต่ออายุการรับรอง ใบรับรองและหนังสือต่ออายุการรับรองของ ASD ทั้งหมดจะเป็นโมฆะตั้งแต่วันที่ 27 กรกฎาคม 2020 และคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ได้รับการอัปเดตเพื่อลบข้อกำหนดในการเลือกบริการระบบคลาวด์ออกจากรายชื่อบริการระบบคลาวด์ที่ผ่านการรับรอง (CCSL)

  ภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว

  แล้วจะเป็นอย่างไรต่อ

  ในวันที่ 27 กรกฎาคม 2020 ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) และหน่วยงานด้านการเปลี่ยนผ่านสู่ดิจิทัล (DTA) ได้ออกคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรมเพื่อสนับสนุนการนำระบบคลาวด์มาใช้อย่างปลอดภัยทั่วทั้งภาครัฐและอุตสาหกรรม AWS ยังคงรับผิดชอบในการประเมิน IRAP ต่อไปเพื่อดูแลการประเมินให้เป็นปัจจุบันและเพื่อให้บริการใหม่ๆ หน่วยงานของเครือรัฐจะยังคงรับผิดชอบกิจกรรมการประกันและการบริหารความเสี่ยงของตนเองต่อไป ตามกลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว ASD จะปรับปรุงคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ที่มีอยู่ผ่านการพัฒนาแนวทางที่ออกแบบร่วมกันกับอุตสาหกรรม นอกจากนี้ แนวทางเหล่านี้จะช่วยเหลือหน่วยงานของเครือรัฐและธุรกิจของออสเตรเลียในการเพิ่มความปลอดภัยและความยืดหยุ่นทางไซเบอร์ของตน

  ปัจจุบันนี้ ASD ได้พัฒนาคู่มือที่มีประโยชน์จำนวนมากเพื่อให้องค์กรทำการประเมินด้านความปลอดภัยที่เหมาะสมเกี่ยวกับระบบคลาวด์ ในการประเมินใดๆ นั้น แนะนำให้พิจารณาการควบคุมความปลอดภัยใน ISM และคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ของ ASD อย่างชัดเจน ซึ่งรวมถึง:

  • ข้อพิจารณาด้านความปลอดภัยของการประมวลผลระบบคลาวด์ และ
  • ความปลอดภัยของการประมวลผลระบบคลาวด์สำหรับผู้เช่า

  DTA ยังคงดำเนินการเพื่อสนับสนุนให้หน่วยงานของเครือรัฐใช้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลียในการสนับสนุนการนำบริการระบบคลาวด์มาใช้
  

• มีเอกสาร IRAP ใดบ้างที่ฉันนำมาใช้ได้

  ในการสนับสนุนลูกค้ารัฐบาลออสเตรเลีย เราได้จัดเตรียมชุดคำแนะนำและเอกสารด้านการรักษาความปลอดภัยเพื่อเพิ่มความเข้าใจของคุณในด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในขณะที่ใช้ AWS AWS ได้จัดเตรียมเอกสารข้อมูลสำหรับสาธารณะดังต่อไปนี้:

  • การใช้ AWS ในบริบทเกี่ยวกับข้อพิจารณาความเป็นส่วนตัวในประเทศออสเตรเลีย
  • Quick Start ใหม่ปรับใช้สถาปัตยกรรมอ้างอิง IRAP PROTECTED ด้านการปฏิบัติตามข้อกำหนดบน AWS Cloud

  คุณสามารถเข้าถึงแพ็กเกจ IRAP PROTECTED ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานด้านการปฏิบัติตามข้อกำหนดของ AWS ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact ข้อมูลนี้มอบความสามารถในการวางแผน ออกแบบ และประเมินระบบที่สร้างขึ้นใน AWS ด้วยตนเองภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย แพ็กเกจนี้มอบข้อมูลทุกอย่างที่ลูกค้าภาครัฐจำเป็นต้องใช้ในการประเมิน AWS ในระดับ PROTECTED และช่วยให้หน่วยงานเอกเทศสามารถลดความซับซ้อนของกระบวนการนำบริการของ AWS มาใช้ เอกสารในแพ็กเกจมีดังต่อไปนี้:

  • หนังสือรับรองการปฏิบัติตามข้อกำหนด
  • สรุปการปรับใช้การควบคุม
  • รายงาน IRAP ขั้นที่ 2
  • สถาปัตยกรรมอ้างอิง และ
  • คู่มือผู้บริโภค

  รายงานเพิ่มเติมที่ประเมินและทดสอบการควบคุมที่ปรับใช้โดยโครงสร้างพื้นฐานของ AWS และพร้อมใช้งานภายใต้ NDA (ตามความจำเป็น) มีดังนี้:

  • รายงานการควบคุมองค์กรบริการ 1 (SOC1) ประเภท II
  • รายงานการควบคุมองค์กรบริการ 2 (SOC2) ประเภท II
  • ใบรับรอง ISO 27001 และคำประกาศการนำไปใช้งาน และ
  • เอกสารยืนยันการปฏิบัติตามข้อกำหนดของ PCI และบทสรุปหน้าที่ของ PCI

  Quick Start มีไว้สำหรับผู้ใช้ที่ต้องการสร้างปริมาณงานบนระบบคลาวด์ที่ใช้การควบคุมของ AWS ซึ่งตรงตามข้อกำหนดของ ISM สำหรับการจัดการข้อมูลที่ละเอียดอ่อนของรัฐบาลในระดับการจัดหมวดหมู่ PROTECTED ซึ่งจะปรับใช้สถาปัตยกรรมอ้างอิง IRAP PROTECTED บน AWS Cloud โดยอัตโนมัติภายในเวลาประมาณหนึ่งชั่วโมง สถาปัตยกรรมอ้างอิงจะแสดงให้เห็นวิธีที่บริการของ AWS หลายบริการถูกรวมเข้าด้วยกันเพื่อสนับสนุนเว็บแอปพลิเคชันแบบหลายระดับด้วยบริการรักษาความปลอดภัยและการบริหารจัดการที่เกี่ยวข้องซึ่งตรงตามข้อกำหนด PROTECTED ของ ISM ในขณะที่โซลูชันนี้ปรับใช้การควบคุมจำนวนมากที่ระบุไว้ในสถาปัตยกรรมอ้างอิง IRAP PROTECTED แต่การควบคุมที่แนะนำบางส่วนไม่ได้รวมอยู่ใน Quick Start นี้ ก่อนที่จะใช้โซลูชันนี้เพื่อจัดเก็บข้อมูล PROTECTED โปรดอย่าลืมปฏิบัติตามคำแนะนำในแพ็กเกจซึ่งสามารถดูได้ใน AWS Artifact

  สำหรับข้อมูลเกี่ยวกับรายงานเพิ่มเติมอื่นๆ โปรดดูที่ โปรแกรมการปฏิบัติตามข้อกำหนดของ AWS
  

• ผู้ประเมิน IRAP คือใคร

  ผู้ประเมิน IRAP คือบรรดามืออาชีพด้าน ICT ที่ได้รับการรับรองโดย ASD จากทั่วออสเตรเลียซึ่งมีประสบการณ์และคุณสมบัติที่จำเป็นในด้าน ICT การประเมินความปลอดภัย และการบริหารความเสี่ยง รวมถึงความรู้อย่างละเอียดเกี่ยวกับข้อบังคับในการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย
  

• ISM คืออะไร

  คู่มือการรักษาความปลอดภัยของสารสนเทศ (ISM) ของรัฐบาลออสเตรเลียกำหนดกรอบด้านความปลอดภัยทางไซเบอร์ที่องค์กรสามารถนำไปใช้เพื่อปกป้องระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ของตนจากภัยคุกคามทางไซเบอร์ได้ คู่มือนี้เป็นส่วนเสริมของ Protective Security Policy Framework (PSPF) ที่ออกโดยสำนักงานอัยการสูงสุดของรัฐบาลออสเตรเลีย ISM และ PSPF มอบแนวทางและความรับผิดชอบสำหรับหน่วยงานของเครือรัฐในการปรับใช้การควบคุมที่เหมาะสมในสภาพแวดล้อม ICT นอกจากนี้ หน่วยงานของเครือรัฐควรพิจารณาคำแนะนำที่เกี่ยวข้องซึ่งเผยแพร่โดยหรือสำหรับหน่วยงานเหล่านี้โดยเฉพาะ

  ในปี 2017 หน่วยงาน Digital Transformation Agency (DTA) ได้ร่วมมือกับหน่วยงานอื่นๆ ของรัฐและอุตสาหกรรมเพื่อพัฒนากลยุทธ์ระบบคลาวด์ที่ปลอดภัยขึ้นมา กลยุทธ์นี้มุ่งเน้นไปที่การช่วยเหลือหน่วยงานภาครัฐในการใช้เทคโนโลยีระบบคลาวด์

  ISM คือคู่มือที่เผยแพร่โดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) ซึ่งเป็นองค์กรชั้นนำของรัฐบาลออสเตรเลียในด้านความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติและเป็นส่วนหนึ่งของกรมสัญญาณแห่งออสเตรเลีย (ASD)

  สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทของ ACSC ในการส่งเสริมและปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย โปรดดูที่เว็บเพจความมั่นคงปลอดภัยทางไซเบอร์บนเว็บไซต์ ASD หรือเว็บไซต์ ACSC
  

• AWS ตรงตามข้อกำหนดของ ISM หรือไม่

  ใช่ AWS Cloud services ได้รับการประเมินโดยผู้ประเมิน IRAP อิสระโดยเทียบกับระบบควบคุม ISM ที่เกี่ยวข้อง การประเมินนี้ตรวจสอบการควบคุมความปลอดภัยของบุคลากร กระบวนการ และเทคโนโลยีของ Amazon การประเมินนี้มอบความมั่นใจว่ามีการปรับใช้ระบบควบคุมที่เกี่ยวข้อง ซึ่งจำเป็นสำหรับปริมาณงานของรัฐบาลออสเตรเลียในระดับ PROTECTED สำหรับผลิตภัณฑ์ที่ AWS มีอยู่เหล่านี้ สำหรับข้อมูลเพิ่มเติม คุณยังสามารถไปที่ AWS Artifact เพื่อเข้าถึงแพ็กเกจ IRAP PROTECTED จากการประเมินล่าสุดได้เช่นกัน
  

• ฉันสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรม IRAP ได้จากที่ใด

  หากต้องการข้อมูลเพิ่มเติม โปรดดูที่เว็บเพจ IRAP บนเว็บไซต์ ACSC
  

• รีเจี้ยนและบริการ AWS ใดที่อยู่ภายใต้การประเมิน IRAP

  การประเมิน IRAP ครอบคลุมบริการในขอบเขตภายในรีเจี้ยนซิดนีย์และเมลเบิร์นของ AWS ดูบริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบเขตสำหรับการประเมิน IRAP ได้ที่เว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด
  

• ฉันสามารถใช้บริการอื่นๆ ของ AWS ที่ไม่รวมอยู่ในการประเมิน IRAP ได้หรือไม่

  ใช่ ภายใต้การปฏิบัติตามข้อกำหนดของกฎระเบียบ นโยบาย และแนวทางที่มีผลบังคับใช้ซึ่งกำกับดูแลการใช้บริการระบบคลาวด์ของคุณ หากบริการที่ต้องการใช้งานไม่อยู่ในรายชื่อบนเว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด สามารถประเมินเวิร์กโหลดเพื่อดูความเหมาะสมกับบริการอื่นๆ ของ AWS ได้